Cato Cloud a VMware Edge vía túneles IPsec HA

Para configurar un sitio para conectar al Cato Cloud con VMware Edge HA IPsec:

1. En la Aplicación de Gestión Cato, asigne una IP de Peer IPsec de un PoP primario y secundario:

   1. Desde el menú de navegación, haz clic en Network(1) > IP Allocation (2).

   2. En la pantalla IP Allocation, selecciona dos ubicaciones de PoP que sean el PoP primario y el PoP secundario (3) para los túneles IPsec.

      Después de seleccionar la ubicación del PoP, se muestra la dirección IP peer IPsec correspondiente.

   3. Haz clic en Save (4).

2. En el menú de navegación de VMware SD-WAN Orchestrator, selecciona Configure > Profiles (1) y haz clic en New Profile (2) para crear un perfil.

3. Bajo el perfil, haz clic en la pestaña Device.

4. Desplázate hacia abajo hasta la sección Cloud VPN y habilita la opción Branch to Non SD-WAN Destination via Edge.

5. Añade un nuevo Service, desde el menú desplegable selecciona New NVS via Edge….

6. Ingresa un Service Name (1) y desde el menú desplegable Service Type (2) selecciona Generic IKEv2 Router (Router Based VPN). Haz clic en Next (3).

7. En la ventana Non SD-WAN Destinations via Edge, haz clic en Advanced y configura los siguientes ajustes:

   1. Para Primary VPN Gateway Public IP (1) ingrese la IP asignada del PoP primario (en el paso 1 anterior).

   2. Establezca el valor de DH Group (2) a 15 (para coincidir con el valor predeterminado de Cato).

   3. En Site Subnets (3), especifique cualquier subred WAN de Cato que tenga permitido acceso a este dispositivo VMware Edge.

8. Habilite el Secondary VPN Gateway (1) y configure los siguientes ajustes:

   1. Para Public IP (2) ingrese la IP asignada del PoP secundario en el paso 1 anterior.

   2. Habilite la opción Tunnel settings are same as Primary VPN Gateway (3) y haga clic en Save Changes (4).

9. Abra los ajustes para asociar el nuevo perfil con el dispositivo VMware Edge adecuado:

   1. En el menú de navegación, seleccione Configure > Edges (1).

   2. Haga clic en el hipervínculo del dispositivo edge adecuado (2).

10. Haga clic en la pestaña Edge Overview (1) y en la sección Profile seleccione el nuevo perfil desde el menú desplegable Profile (2) y luego haga clic en Save Changes (3).

11. Haga clic en la pestaña Device y en la sección Cloud VPN configure una de las siguientes opciones:

    • Para una única conexión de servicio de producción - Seleccione Enable Edge Override (1) y especifique el servicio creado para esta conexión

    • Para múltiples conexiones de servicio de producción - Permita que el/los servicio(s) se importen automáticamente en función del perfil que configuró en el paso anterior.

    Haga clic en el hipervínculo Add (2) para el servicio para añadir información del túnel.

12. En la ventana Add Tunnel, configure los siguientes ajustes:

    1. Establezca la Local Identification (1) como la Dirección IP de Enlace WAN Pública.

    2. Ingrese un PSK (2) personalizado.

    3. En Destination Primary Public IP (3) ingrese la dirección IP primaria del PoP.

    4. En Destination Secondary Public IP (4) ingrese la dirección IP secundaria del PoP.

    5. Haga clic en Save Changes.

13. En la Aplicación de Gestión Cato, cree un nuevo sitio para el sitio VMware Edge:

    1. Desde el menú de navegación, seleccione Network (1) > Sites (2).

    2. Haga clic en New (3). Se abre el panel Add Site.

14. Configure los ajustes para el nuevo sitio VMware Edge.

    1. Ingrese un Site Name (1).

    2. En Connection Type (2), seleccione IPsec IKEv2.

    3. Seleccione el Country (3) y State (4) apropiados.

    4. En Native Range (5) especifique un rango de red que se encuentra detrás del sitio VMware Edge que se comunica con los rangos conectados al Cato Cloud.

    5. Haga clic en Apply (6).

15. Haga clic en el nombre del nuevo sitio para abrirlo y configurar los ajustes.

16. Desde el menú de navegación, seleccione Network > Site Configuration > IPsec (1) y expanda la sección Primary (2).

17. Defina los ajustes para el túnel IPsec primario:

    1. Defina el Public IP:

       1. En Cato IP (Egress) (1), del menú desplegable elija el IP del PoP primario.

       2. En Site IP (2), ingrese la dirección IP del Enlace WAN Público del Router VMware Edge.

    2. Ingrese el Primary PSK (3).

18. Expanda la sección de configuración del túnel Secondary y configure los ajustes para el túnel IPsec secundario:

    1. En Cato IP (Egress) (1), seleccione la dirección IP del PoP secundario del menú desplegable.

    2. En Site IP (2), ingrese la dirección IP del enlace WAN público de VMware Edge.

    3. Ingrese el Secondary PSK (3).

19. Expanda la sección de configuración de Routing y asegúrese de que Initiate connection by Cato no esté habilitado.

    No especifique ningún Network Ranges. Es una política basada en rutas y el router VMware Edge crea una única asociación de seguridad 0.0.0.0 - 255.255.255.255 con Cato Cloud.

20. Vaya a la parte superior de la pantalla IPsec y haga clic en Guardar.

    Su sitio ahora está configurado para conectarse al Cato Cloud.